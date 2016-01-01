Как создать пользователя AWS IAM и бакет S3
В этом руководстве показано, как создать пользователя IAM и бакет S3 в AWS — это необходимый предварительный шаг для резервного копирования в S3 или настройки ClickHouse для хранения данных в S3
Создание пользователя AWS IAM
В этой процедуре мы создадим служебную учетную запись (service account), а не пользователя для интерактивного входа.
-
Войдите в консоль управления AWS IAM (AWS IAM Management Console).
-
На вкладке
Usersвыберите
Create user.
- Введите имя пользователя.
- Выберите
Next.
- Выберите
Next.
- Выберите
Create user.
Пользователь создан. Нажмите на вновь созданного пользователя.
- Выберите
Create access key.
- Выберите
Application running outside AWS.
- Выберите
Create access key.
- Загрузите свой access key и secret в виде файла .csv для последующего использования.
Создание бакета S3
- В разделе бакетов S3 выберите Create bucket
- Введите имя бакета, остальные параметры оставьте по умолчанию
Имя бакета должно быть уникальным во всём AWS, а не только внутри вашей организации, иначе будет выдана ошибка.
- Оставьте параметр
Block all Public Accessвключённым; публичный доступ не требуется.
- Внизу страницы выберите Create Bucket
- Перейдите по ссылке, скопируйте ARN и сохраните его для использования при настройке политики доступа для бакета
- После создания бакета найдите новый бакет S3 в списке S3 buckets и выберите его имя, чтобы перейти на страницу, показанную ниже:
-
Выберите
Create folder
-
Введите имя папки, которая будет целевым расположением для S3-диска ClickHouse или резервных копий, и выберите
Create folderвнизу страницы
- Папка теперь должна отображаться в списке объектов бакета
- Установите флажок для новой папки и нажмите
Copy URL. Сохраните URL для использования в конфигурации хранилища ClickHouse в следующем разделе.
- Перейдите на вкладку Permissions и нажмите кнопку Edit в разделе Bucket Policy
- Добавьте политику для бакета, пример приведён ниже
Приведённая выше политика позволяет выполнять любые операции с бакетом.
|Параметр
|Описание
|Пример значения
|Version
|Версия интерпретатора политики, оставьте как есть
|2012-10-17
|Sid
|Определяемый пользователем идентификатор политики
|abc123
|Effect
|Разрешаются или запрещаются запросы пользователя
|Allow
|Principal
|Учетные записи или пользователи, которым будет разрешён доступ
|arn:aws:iam::782985192762:user/docs-s3-user
|Action
|Какие операции разрешены для бакета
|s3:*
|Resource
|К каким ресурсам в бакете будут разрешены операции
|"arn:aws:s3:::ch-docs-s3-bucket", "arn:aws:s3:::ch-docs-s3-bucket/*"
Совместно с вашей командой по безопасности определите, какие разрешения использовать; рассматривайте приведённые выше как отправную точку. Для получения дополнительной информации о политиках и настройках см. документацию AWS: https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html
- Сохраните конфигурацию политики